Hi,
ich weiß nicht wo es am besten hinpasst, dachte aber hier kennt man sich damit noch am besten aus.
Ich habe folgendes Problem: ich möchte meine logs mit logchick filtern und zu mir schicken. Da jedoch regelmäßig irgendwelche w00tw00t.at.ISC.SANS.DFind scans stattfinden, möchte ich mir eine Regel definieren, die diese Zeilen herausfiltert und mir eben nicht schickt.
Eine Zeile sieht in etwa so aus:
Ich scheitere an dem Übergang zwischen [client xxx.xxx.xxx.xxx] (x sind natürlich Zahlen) und client sent ...
Nutze ich \[client [.[:digit:]\] funktioniert es. füge ich ein client hinzu, dann funktioniert es nicht mehr: \[client [.[:digit:]\] client
(getestet mit egrep)
ich weiß nicht wo es am besten hinpasst, dachte aber hier kennt man sich damit noch am besten aus.
Ich habe folgendes Problem: ich möchte meine logs mit logchick filtern und zu mir schicken. Da jedoch regelmäßig irgendwelche w00tw00t.at.ISC.SANS.DFind scans stattfinden, möchte ich mir eine Regel definieren, die diese Zeilen herausfiltert und mir eben nicht schickt.
Eine Zeile sieht in etwa so aus:
Code:
[Tue Feb 15 16:47:26 2011] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Nutze ich \[client [.[:digit:]\] funktioniert es. füge ich ein client hinzu, dann funktioniert es nicht mehr: \[client [.[:digit:]\] client
(getestet mit egrep)